Planejar para importar o material de chave - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Planejar para importar o material de chave

O material de chaves importadas permite que você proteja seus AWS recursos com as chaves criptográficas que você gera. O material da chave que você importa está associado a uma chave do KMS específica. Você pode reimportar o mesmo material de chave para a mesma chave KMS, mas não pode importar material de chave diferente para a chave KMS e não pode converter uma chave KMS projetada para material de chave importado em uma chave KMS com material de chave. AWS KMS

Saiba mais:

Sobre o material de chave importada

Antes de decidir importar material de chave para AWS KMS, você deve compreender as seguintes características do material de chave importado.

Você gera o material de chave

Você é responsável por gerar o material de chaves usando uma origem de aleatoriedade que atende aos seus requisitos de segurança.

Você pode excluir o material de chave.

Você pode excluir material de chave importado de uma chave do KMS, tornando imediatamente a chave do KMS inutilizável. Além disso, ao importar o material de chave para uma chave do KMS, é possível determinar se a chave expira e definir seu prazo de validade. Quando o prazo de validade chegar, AWS KMS exclui o material da chave. Sem o material de chave, a chave do KMS não pode ser usada em nenhuma operação criptográfica. Para restaurar a chave, é necessário reimportar o mesmo material de chave para a chave.

Não é possível alterar o material de chave

Quando você importa o material de chave para uma chave do KMS, esta é associada permanentemente a esse material de chave. Você pode reimportar o mesmo material de chaves, mas não pode importar outro material de chaves para essa chave do KMS. Além disso, não é possível habilitar a alternância automática de chaves de uma chave do KMS com material de chaves importado. No entanto, você pode alternar manualmente uma chave do KMS com material de chave importado.

Não é possível alterar a origem do material de chave

As chaves do KMS projetadas para material de chave importado têm um valor de origem de EXTERNAL que não pode ser alterado. Você não pode converter uma chave KMS de material de chave importado para usar material de chave de qualquer outra fonte, inclusive AWS KMS. Da mesma forma, você não pode converter uma chave KMS com material de AWS KMS chave em uma projetada para material de chave importado.

Não é possível exportar material de chave

Você não pode exportar nenhum material de chave que tenha importado. AWS KMS não é possível devolver o material da chave importada para você de nenhuma forma. Você deve manter uma cópia do material de chaves importado fora dele AWS, de preferência em um gerenciador de chaves, como um módulo de segurança de hardware (HSM), para poder reimportar o material de chaves se você excluí-lo ou se ele expirar.

É possível criar chaves de várias regiões com material de chave importado.

A chave de várias regiões com material de chave importado tem recursos das chaves do KMS com material de chave importado e pode interoperar entre as Regiões da AWS. Para criar uma chave de várias regiões com material de chave importado, você deve importar o mesmo material de chave para a chave do KMS primária e para cada chave de réplica. Para obter detalhes, consulte Importar material de chave para chaves de várias regiões.

As chaves assimétricas e as chaves de HMAC são portáteis e interoperáveis

Você pode usar seu material de chave assimétrica e material de chave HMAC externamente AWS para interoperar com AWS KMS chaves com o mesmo material de chave importado.

Ao contrário do texto cifrado AWS KMS simétrico, que está inextricavelmente vinculado à chave KMS usada no algoritmo, AWS KMS usa formatos HMAC e assimétricos padrão para criptografia, assinatura e geração de MAC. Como resultado, as chaves são portáteis e compatíveis com cenários tradicionais de garantia de chaves.

Quando sua chave KMS tiver importado material de chave, você poderá usar o material de chave importado de fora AWS para realizar as seguintes operações.

  • Chaves de HMAC — É possível verificar uma etiqueta de HMAC que foi gerada pela chave do KMS de HMAC com material de chave importado. Você também pode usar a chave HMAC KMS com o material de chave importado para verificar uma tag HMAC que foi gerada pelo material de chave externo. AWS

  • Chaves de criptografia assimétricas — Você pode usar sua chave privada de criptografia assimétrica externa para AWS descriptografar um texto cifrado criptografado pela chave KMS com a chave pública correspondente. Você também pode usar sua chave KMS assimétrica para descriptografar um texto cifrado assimétrico que foi gerado fora do. AWS

  • Chaves de assinatura assimétrica — Você pode usar sua chave KMS de assinatura assimétrica com material de chave importado para verificar as assinaturas digitais geradas por sua chave de assinatura privada fora da. AWS Você também pode usar sua chave de assinatura pública assimétrica no exterior AWS para verificar as assinaturas geradas pela sua chave KMS assimétrica.

  • Chaves de contrato de chave assimétrica — Você pode usar sua chave KMS de contrato de chave pública assimétrica com material de chave importado para derivar segredos compartilhados com um colega externo. AWS

Se você importar o mesmo material de chave para chaves do KMS diferentes da mesma Região da AWS, essas chaves também serão interoperáveis. Para criar chaves KMS interoperáveis em diferentes Regiões da AWS, crie uma chave multirregional com material de chave importado.

As chaves de criptografia simétricas não são portáteis nem interoperáveis

Os textos cifrados simétricos que AWS KMS produz não são portáteis nem interoperáveis. AWS KMS não publica o formato de texto cifrado simétrico exigido pela portabilidade, e o formato pode mudar sem aviso prévio.

  • AWS KMS não é possível descriptografar textos cifrados simétricos que você criptografa fora AWS, mesmo se você usar material de chave que tenha importado.

  • AWS KMS não suporta a descriptografia de nenhum texto cifrado AWS KMS simétrico fora do AWS KMS, mesmo que o texto cifrado tenha sido criptografado em uma chave KMS com material de chave importado.

  • As chaves do KMS com o mesmo material de chave importado não são interoperáveis. O texto cifrado simétrico que AWS KMS gera um texto cifrado específico para cada chave KMS. Esse formato de texto cifrado garante que somente a chave do KMS que criptografou os dados poderá descriptografá-los.

Além disso, você não pode usar nenhuma AWS ferramenta, como a criptografia do lado do cliente AWS Encryption SDKou do Amazon S3, para descriptografar textos cifrados simétricos. AWS KMS

Como resultado, você não pode usar chaves com material de chave importado para apoiar acordos de custódia de chaves em que um terceiro autorizado com acesso condicional ao material de chaves possa decifrar determinados textos cifrados fora do. AWS KMS Para oferecer suporte à garantia de chave, use o AWS Encryption SDK para criptografar sua mensagem em uma chave que seja independente do AWS KMS.

Você é responsável pela disponibilidade e durabilidade

AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado. Para obter detalhes, consulte Proteger o material de chave importada.

Proteger o material de chave importada

O material de chave importada é protegido em trânsito e em repouso. Antes de importar o material da chave, você criptografa (ou “empacota”) o material da chave com a chave pública de um par de chaves RSA gerado em módulos de segurança de AWS KMS hardware (HSMs) validados pelo Programa de Validação do Módulo Criptográfico FIPS 140-2. É possível criptografar o material da chave diretamente com a chave pública de empacotamento ou criptografar o material da chave com uma chave simétrica AES e, em seguida, criptografar a chave simétrica AES com a chave pública RSA.

Após o recebimento, AWS KMS descriptografa o material da chave com a chave privada correspondente em um AWS KMS HSM e o recriptografa sob uma chave simétrica AES que existe somente na memória volátil do HSM. O material de chave nunca sai do HSM em texto sem formatação. Ele é descriptografado somente enquanto está em uso e somente dentro dos HSMs. AWS KMS

O uso da chave do KMS com material de chave importado é determinado exclusivamente pelas políticas de controle de acesso que você define na chave do KMS. Além disso, é possível usar aliases e tags para identificar e controlar o acesso à chave do KMS. É possível ativar e desativar a chave, visualizar e editar suas propriedades e monitorá-la usando serviços como o AWS CloudTrail.

No entanto, você mantém a única cópia à prova de falhas do seu material de chave. Em troca dessa medida extra de controle, você é responsável pela durabilidade e disponibilidade geral do material chave importado. AWS KMS foi projetado para manter o material chave importado altamente disponível. Mas AWS KMS não mantém a durabilidade do material chave importado no mesmo nível do material chave AWS KMS gerado.

Essa diferença em durabilidade é importante nos seguintes casos:

  • Quando você define um prazo de validade para o material de chaves importado, AWS KMS exclui o material de chaves depois que ele expira. AWS KMS não exclui a chave KMS nem seus metadados. Você pode criar um CloudWatch alarme da Amazon que o notifique quando o material de chave importado estiver se aproximando da data de expiração.

    Você não pode excluir o material da chave AWS KMS gerado para uma chave KMS e não pode definir que o material da AWS KMS chave expire, embora você possa girá-lo.

  • Quando você exclui manualmente o material da chave importada, AWS KMS exclui o material da chave, mas não exclui a chave KMS ou seus metadados. Por outro lado, programar a exclusão de chaves exige um período de espera de 7 a 30 dias, após o qual o AWS KMS exclui permanentemente a chave do KMS, seus metadados e o material de chave.

  • No caso improvável de certas falhas em toda a região que afetem AWS KMS (como perda total de energia), AWS KMS não é possível restaurar automaticamente o material de chave importado. No entanto, AWS KMS pode restaurar a chave KMS e seus metadados.

Você deve reter uma cópia do material de chave importado fora AWS de um sistema que você controla. Recomendamos armazenar uma cópia exportável do material de chave importado em um sistema de gerenciamento de chaves, como um HSM. Se o material de chave importado for excluído ou expirar, a chave do KMS associada se tornará inutilizável até que você reimporte o mesmo material de chave. Se o material de chave importada for perdido permanentemente, todo texto cifrado criptografado sob a chave do KMS será irrecuperável.

Permissões para importar material de chave

Para criar e gerenciar chaves do KMS com material de chave importado, o usuário precisa de permissão para as operações nesse processo. Você pode fornecer as permissões kms:GetParametersForImport, kms:ImportKeyMaterial e kms:DeleteImportedKeyMaterial na política de chaves ao criar a chave do KMS. No AWS KMS console, essas permissões são adicionadas automaticamente para administradores de chaves quando você cria uma chave com uma origem de material de chave externa.

Para criar chaves do KMS com material de chave importado, a entidade principal precisa das permissões a seguir.

  • kms: CreateKey (política do IAM)

    • Para limitar essa permissão às chaves KMS com material de chave importado, use a condição kms: KeyOrigin policy com um valor de. EXTERNAL

      { "Sid": "CreateKMSKeysWithoutKeyMaterial", "Effect": "Allow", "Resource": "*", "Action": "kms:CreateKey", "Condition": { "StringEquals": { "kms:KeyOrigin": "EXTERNAL" } } }
  • kms: GetParametersForImport (Política de chave ou política do IAM)

    • Para limitar essa permissão a solicitações que usam um algoritmo de empacotamento específico e uma especificação de chave de encapsulamento, use as condições de política kms: WrappingAlgorithm e kms:. WrappingKeySpec

  • kms: ImportKeyMaterial (Política de chave ou política do IAM)

    • Para permitir ou proibir material chave que expira e controlar a data de expiração, use as condições da política kms: ExpirationModel e kms:. ValidTo

Para reimportar o material de chave importado, o diretor precisa das permissões kms: GetParametersForImport e kms:. ImportKeyMaterial

Para excluir o material de chave importado, o diretor precisa de kms: DeleteImportedKeyMaterial permission.

Por exemplo, para permitir que o exemplo KMSAdminRole gerencie todos os aspectos de uma chave do KMS com material de chave importado, inclua uma declaração de política de chaves como a seguinte na política de chaves da chave do KMS.

{ "Sid": "Manage KMS keys with imported key material", "Effect": "Allow", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::111122223333:role/KMSAdminRole" }, "Action": [ "kms:GetParametersForImport", "kms:ImportKeyMaterial", "kms:DeleteImportedKeyMaterial" ] }

Requisitos para material de chave importada

O material da chave que você importa deve ser compatível com a especificação de chave da chave do KMS correspondente. Para pares de chaves assimétricas, importe somente a chave privada do par. AWS KMS deriva a chave pública da chave privada.

AWS KMS suporta as seguintes especificações principais para chaves KMS com material de chave importado.

Especificação de chave da chave do KMS Requisitos de material de chaves

Chaves de criptografia simétrica

SYMMETRIC_DEFAULT

256 bits (32 bytes) de dados binários

Nas regiões da China, elas devem ter 128 bits (16 bytes) de dados binários.

Chaves de HMAC

HMAC_224

HMAC_256

HMAC_384

HMAC_512

O material da chave de HMAC deve estar em conformidade com a RFC 2104.

O comprimento da chave deve corresponder ao comprimento especificado pela especificação da chave.

Chave privada assimétrica RSA

RSA_2048

RSA_3072

RSA_4096

A chave privada assimétrica RSA que você importa deve fazer parte de um par de chaves que esteja em conformidade com a RFC 3447.

Módulo: 2048 bits, 3072 bits ou 4096 bits

Número de primes: 2 (chaves RSA com vários primes não são compatíveis)

O material de chave assimétrica deve ser codificado em BER ou DER no formato Public Key Cryptography Standards (PKCS) #8 que esteja em conformidade com a RFC 5208.

Chave privada assimétrica de curva elíptica

ECC_NIST_P256 (secp256r1)

ECC_NIST_P384 (secp384r1)

ECC_NIST_P521 (secp521r1)

ECC_SECG_P256K1 (secp256k1)

A chave privada assimétrica ECC que você importa deve fazer parte de um par de chaves que esteja em conformidade com a RFC 5915.

Curva: NIST P-256, NIST P-384, NIST P-521 ou Secp256k1

Parâmetros: somente curvas nomeadas (chaves ECC com parâmetros explícitos são rejeitadas)

Coordenadas de pontos públicos: podem ser compactadas, não compactadas ou projetivas

O material de chave assimétrica deve ser codificado em BER ou DER no formato Public Key Cryptography Standards (PKCS) #8 que esteja em conformidade com a RFC 5208.

Chave privada assimétrica SM2 (somente regiões da China)

A chave privada assimétrica SM2 que você importa deve fazer parte de um par de chaves que esteja em conformidade com GM/T 0003.

Curva: SM2

Parâmetros: somente curva nomeada (teclas SM2 com parâmetros explícitos são rejeitadas)

Coordenadas de pontos públicos: podem ser compactadas, não compactadas ou projetivas

O material de chave assimétrica deve ser codificado em BER ou DER no formato Public Key Cryptography Standards (PKCS) #8 que esteja em conformidade com a RFC 5208.